ANÁLISE DA ÁRVORE DE FALHAS

INTRODUÇÃO

O MÉTODO DEDUCTIVO
Ao igual que os métodos inductivos, os métodos deductivos são muito utilizados nas
análises de sistemas, porém, eles fornecem um enfoque mais efetivo e versátil para o
análise preditivo de identificação dos riscos. Os conceitos básicos envolvidos podem ser
usados para fazer avaliações simples e podem também ser usados para fazer avaliações
quantitativas. Os custos de fazer este tipo de estudo aumentam proporcionalmente com a
complexidade e o escopo do trabalho, portanto é necessário um ponto de vista seletivo
quando se planeja uma análise deste tipo para garantir que seu custo se justifique pelos
riscos que estão sendo identificados e avaliados.

O enfoque deductivo começa com a definição do evento não desejado, um acidente

imaginado ou real no caso de uma investigação, e organiza graficamente, em forma
sistemática todos os eventos conhecidos, falhas e acontecimentos (dentro do contexto do
módulo do sistema estabelecido) que possam contribuir ou causasr o acontecimento do
evento não desejado.

A informação organizada dentro dos formulários do Análise Preliminar de Riscos ou

Análise de Modos e Efeitos de Falhas fornecerão informações muito importantes para este
tipo de análise. O modelo lógico mais comunmente utilizado dentro das análises de
Segurança de Sistemas é o análise da Àrvore de Falhas, (AAF).

DESCRIÇÃO GERAL DO MÉTODO

A análise da Árvore de Falhas foi desenvolvida pelos engenheiros do Laboratório da Bell

Telefhone Company no início dos anos 60, e tem continuado a receber contínuas melhoras,
especialmente na área de avaliação matemática. Para os efeitos desta discussão, todos os
exemplos serão baseados nas técnicas atuais da AAF, porém, outros métodos e técnicas
estão sendo desenvolvidos e utilizados em aplicações específicas.

Em resumo, as cinco etapas básicas utilizadas na análise da árvore de falhas são:

1- Escolha do evento não desejado a ser analisado, e definir a configuração do sistema,

módulo, ciclo de vida e ambiente do objetivo do estudo.
2- Obter informações, desenhos e qualquer outro tipo de informação disponível para Ter
um bom entendimento do sistema a ser analisado.
3- Construção do diagrama lógico da árvore de falhas. (veja a descrição da continuação a
continuação)
4- Avaliar o diagrama lógico (utilizando os enfoques objetivos definidos)
5- Preparar um resumo das conclusões da análise da árvore de falhas para serm
apresentadas e analisadas pela gerência.
CARACTERÍSTICAS

Objetivos: A análise da árvore de falhas é identificar as combinações das falhas nos

equipamentos ou componentes de um sistema ou erros humanos que podem resultar em um
acidente

Quando usar:
a) Projeto. A AAF pode ser usado na fase de projeto de um sistema ou planta para
descobrir modalidades de falhas ocultas, que resultam das combinações das falhas dos
equipamentos ou componentes ou por erros de operação. (humanos)

b) Operação. A AAF incluindo características de procedimentos de operação e do

operador, pode ser usado para estudo um sistema em operação, a fim de identificar
combinações potenciasi de falhas que possam causar acidentes.

Tipos de resultados: Uma listagem dos conjuntos de falhas do equipamento e/ou operação
que possam resultar num acidente específico. Estes conjuntos podem ser classificados
qualitativamente de acordo com sua importância.

Natureza dos resultados: Qualitativos, com potencial de ser quantitativos. A árvore de

falhas pode ser avaliada quantitativamente quando as probabilidades de falhas dos
componentes é conhecida.

Informações necessária:
a) Completo conhecimento da operação e funcionamento dos componentes dos sistemas.
b) Conhecimento das modalidades de falhas dos componentes do sistema e seus efeitos
sobre ele. Esta informação pode ser obtida de uma análise de FMEA.

Pessoal necessário: A análise da árvore de falhas deve ser realizada por uma analista
responsável com consultas a engenheiros e a pessoal com experiência no sistema incluído
na análise. Uma análise mediante uma equipe é mais eficiente, cada membro da equipe se
concentrando em uma árvore individual ou uma rama da árvore principal.

Tempo e custo: O tempo e custo necessário para realizar a análise dependerá em grande
parte da complexidade do sistema a ser analisado, a gravidade das conseqüências e di nível
da resolução determinado. A realização de uma pequena unidade de processo pode levar
uma dia ou mais com uma equipe experiente e com bastantes conhecimentos do sistema.
Grandes acidentes potenciais e sistemas complexos podem precisar de uma semana ou
mais.

APLICAÇÃO DO MÉTODO

AAAF é uma ferramenta amplamente usada para análise de segurança de sistemas. Uma
das vantagens do método é a de ser muito sistemático e analisar todas as falhas que
poderiam resultar num acidente.
A AAF possibilita a não ocorrência de um acidente quando fornece dados sobre falhas do
equipamento ou de operação (erro humano). Cada uma das causas imediatas é examinada,
até que o analista tenha identificado todas as causas básicas do evento. A árvore de falhas é
um diagrama que mostra a inter-relação lógica entre estas causas básicas e o ambiente.

O resultado da AAF é uma lista de combinações da falhas do equipamento ou de operação

que são suficientes para identificar aquelas que são significativas para o desenvolvimento
do evento. Estas combinações de falhas são conhecidas como CONJUNTO DE REDUÇÃO
MÍNIMA. Cada conjunto de redução mínima é a menor redução de falhas que são
suficientes para causar o acidente ou evento quando aquelas causas se apresentam
simultaneamente.

SÍMBOLOS LÓGICOS USADOS NA AAF

A realização da AAF é uma representação gráfica da inter-relação entre as falhas de

equipamentos ou de operação que podem resultar em um acidente específico. Os símbolos
mostrados a seguir são usados na construção da árvore para representar está inter-relação.

Portão “OU”: indica que a saída do evento ocorre quando há uma entrada de
qualquer tipo.

Portão “E” : indica que a saída do evento ocorre somente quando há uma entrada
simultânea de todos os eventos.

Portão de Inibição : indica que a saída do evento ocorre quando acontece a entrada e
a condição inibidora é satisfeita.

Portão de Restrição: indica que a saída do evento ocorre quando a entrada acontece
e o tempo específico de atraso ou restrição expirou.

Evento Básico: representa a FALHA BÁSICA do

equipamento ou falha do sistema que não requer outras
falhas ou defeitos adicionais.

EVENTO INTERMEDIÁRIO: representa uma falha num evento resultado da

interação com outras falhas que são desenvolvidas
através de entradas lógicas como as acima descritas.
 EVENTO NÃO DESENVOLVIDO: representa uma falha que não é examinado
mais, porque a informação não está disponível ou
porque suas consequências são insignificantes.

EVENTO EXTERNO: representa uma condição ou um evento que é suposto existir

como uma condição limite do sistema para análise.

TRANSFERÊNCIAS: indica que a árvore da falhas é desenvolvida de forma

adicional em outras folhas. Os símbolos de
transferência são identificados através de números ou
letras.

DEFINIÇÕES DE TERMOS UTILIZADOS NA ANÁLISE DE ÁRVORE DE FALHAS

As falhas e defeitos dos equipamentos ou sistemas que são descritos na análise de arvore
de falhas podem ser agrupados em três classes:

1- Falhas e defeitos primários

2- Falhas e defeitos secundários
3- Falhas e defeitos de comandos

1 – Falhas e Defeitos Primários

São no sistema devido ao mal funcionamento de equipamentos que podem ocorrer no

ambiente e condições para o qual o equipamento foi projetado, por exemplo: um selo de
bomba centrífuga que se rompe nas condições normais de operação da bomba. As falhas
primárias são de responsabilidade específica do equipamento e não podem ser atribuídas a
outras causas ou condições externas.

2- Falhas e Defeitos Secundários

São falhas no sistema devido ao mal funcionamento que podem ocorrer em ambientes para
o qual o mesmo NÃO foi projetado, por exemplo: o selo da bomba centrífuga que se rompe
por execesso de pressão devido a que a bomba ficou funcionando com a descarga
bloqueada. Essas falhas são atribuídas a causas ou condições externas.

4- Falhas e defeitos de comandos

São falhas no sistema devido a mal funcionamento do equipamento no qual o comando

opera, mas em um tempo ou local errado, por exemplo: um alarme de alta temperatura que
não funciona devido a uma falha no sensor de temperatura no processo,. A falha do alarme
é uma falha de comando e falha do sensor é uma falha primária.
GUIAS PARA USO DO MÉTODO ANALÍTICO

Existem quatro etapas na construção de uma árvore de falhas:

1. Definição do problema
2. Construção da árvore de falhas
3. Solução da árvore de falhas
4. Determinação do conjunto mínimo

1. Definição do Problema

A definição do problema consiste em:

• Definir o EVENTO PRINCIPAL, que será o objeto da análise da árvore de falhas.

• Definir as condições limites do análise incluindo:
a) eventos não considerados.
b) Eventos considerados
c) Limites físicos do sistema
d) Nível de resolução
e) Outras suposições

a) Definir o EVENTO PRINCIPAL

O EVENTO PRINCIPAL é o mais importante aspecto da definição do sistema. Pode
ser um evento ou acidente indesejável que afetará de forma significativa o desempenho
do sistema. A definição desse evento deve ser o mais exata possível. Deve indicar
QUAL é a falha, ONDE acontece a falha e QUANDO acontece a falha.

b) Definir os EVENTOS CONSIDERADOS

É importante listar todos os eventos relacionados com o evento principal que serão
considerados durante a análise do sistema, e as interfases com outros sistemas de
serviço ou suporte. Uma forma de definir esses eventos é analisar qual é sua
contribuição para o desenvolvimento ou conseqüência do evento principal.

c) Definir os LIMITES físicos do sistema

Devem ser definidos os limites físicos do sistema que será analisado, os quais englobam
todos os equipamentos que deverão ser considerados na análise da árvore de falhas.
Uma forma prática de definir os limites e marcar no fluxograma de processo os
equipamentos serão considerados.

d) Definir o NÍVEL DE RESOLUÇÃO

Junto com os limites físicos do sistema, o analista deve especificar o nível de resolução
da análise, o qual determinará a quantidade de detalhes a ser incluída na análise.
 Por exemplo, um motor que opera uma válvula pneumática de controle remoto pode ser
incluído como um simples equipamento, ou pode ser descrito como diversos itens
mecânicos (corpo, cilindro, etc.) Também podem ser incluídos os sistemas de operação
como o suministro de ar, etc. Um fator a ser considerado na decisão do nível de
resolução é a quantidade de detalhes disponíveis nas falhas do sistema, para isto, em
casos de sistemas críticos, uma análise de Modos e efeitos de falhas (FMEA) deverá ser
realizado previamente.

e) Outras Suposições
O analista deve especificar outras suposições quando sejam necessárias para definir o
sistema da forma mais completa possível, como por exemplo, o modo de operação do
sistema, capacidade, etc.

2. Construção de Árvore de Falhas

A construção da árvore de falhas inicia-se com o EVENTO PRINCIPAL e continua, nível
por nível, até que todos os eventos relacionados com o evento principal tenham sido
desenvolvido até suas causas básicas (EVENTOS BÁSICOS)

O analista começa com o evento principal e no nível seguinte, determina as causas

imediatas que causam o evento principal. Geralmente, estas não são causas básicas e sim
causas intermediárias que demandam um desenvolvimento adicional. Caso o analista possa
determinar imediatamente as causas básicas do evento principal, problema não é adequado
(é simples demais) para se promover uma análises tão complicada como uma árvore de
falhas, deverá ser usado um método mais simples e menos custoso.

Se forem exigidas todas as causas imediatas para a ocorrência do evento principal, então as
causas serão ligadas ao evento através de um portão lógico “E”, então, cada uma das causas
imediatas é tratada da mesma maneira que o evento principal e susas causas imediatas,
necessárias e suficientes serão identificadas e indicadas na árvore de falhas com a entrada
lógica adequada. Caso só uma das causas é suficiente para que o evento principal aconteça,
serão ligadas ao evento através de um Portão lógico “OU”.

REGRAS PARA CONSTRUÇÃO DA ÁRVORE DE FALHAS

Há diversas regras básicas que devem ser seguidas na construção de uma árvore de falhas,
elas são:

a) Registras o evento de falha.

Escreva o evento dentro do símbolo correspondente com precisão e escreva um relato
separado indicando como aconteceu, onde aconteceu e quando.
A condição “quando” indica o estado do sistema no tocante ao equipamento informando
desta forma o porque do estado do equipamento que se encontra em situação de “falha”.
Estes relatos devem ser o mais completos possíveis e o analista deve resistir a tentação de
abreviá-lo ou utilizar palavras usadas só pelo pessoal da planta ou processo.

b) Avaliação do evento de falha

Ao se avaliar um evento de falha, deve-se fazer a pergunta:
-“Esta falha pode ser causada pelo mal funcionamento do equipamento?”

Se a resposta for sim, classificar o evento como “falha no estado do equipamento”. Se a

resposta for não, classificar o evento como “falha do sistema”, esta classificação ajudará no
desenvolvimento posterior da análise. Se o evento for classificado como falha do
equipamento, acrescente uma entrada “OU” ao evento falho e procure as razões para esta
falha de equipamento, sejam primárias ou secundárias. Caso o evento falho estiver nas
“falhas do sistema” procure então as causas imediatas e necessárias para que aconteça o
evento.

c) A regra “sem milagres”

Se o funcionamento normal do equipamento provoca uma seqüência de falhas, considere
então que o equipamento funciona normalmente. Jamais considere uma falha como
“milagre”, ou totalmente não esperada.

d) A regra “complete toda entrada cada vez”

Todas as entradas necessárias para que aconteça um evento devem ser analisadas e
registradas antes de se passar para um outro evento. A árvore de falhas deve ser completada
em níveis e deve-se completar cada nível antes de iniciar a análise do próximo.

e) A regra do “não há entrada de evento para evento”

As entradas devem ser adequadamente definidas como eventos de falhas, e estarem ligadas
sempre através de um portão lógico.

As regras (C) e (E) tem por finalidade enfatizar quão importante é ser esquemático e
metódico ao construir uma árvore de falhas. Estas regras proíbem atalhos que levam a
árvores incompletas ou mal analisadas.

3. Solução da Árvore de Falhas

A árvore de falhas acabada fornece muita informação útil através de uma demonstração
gráfica e lógica da seqüência de falhas que poderiam resultar num acidente, entretanto,
exceto no caso de árvores de falhas muito simples, nem mesmo um analista experimentado
poderá identificar diretamente da árvore de falhas, todas as combinações de falhas que
levam ao acidente.

AS árvores de falhas podem ser resolvidas através de métodos matemáticos, como a álgebra
de Boole, o mediante um método de resolução através de matrizes. Ambos os métodos dão
como resultado as séries de cortes mínimos que indicam as combinações defalhas de
equipamentos ou sistemas que podem resultar no evento principal. As séries mínimas de
corte são úteis para hierarquizar os modos pelos quais o acidente pode ocorrer, e permitem
quantificar a probabilidade de falha da árvore, caso se tenham as informações suficientes.

Não sendo o escopo de nosso estudo a solução das árvores de falhas, indicaremos um
método geral que se aplica para todas as soluções.

O método para a solução das árvores de falhas tem quatro etapas:

a) Identificar exclusivamente todas as entradas e os eventos Básicos

b) Simplificar todas as entradas nos eventos Básicos
c) Retirar os eventos duplicados da árvore
d) Suprimir todas as superséries (séries que contêm outra série como sub-série)

O EVENTO BÁSICO ( ou inicial) é sempre a primeira entrada da matriz e deve ser

claramente definido no início da resolução.

HIERARQUIZAÇÃO DA SÉRIE DE CORTES MÍNIMOS

A hierarquização das séries de cortes mínimos é o passo final dos procedimentos analíticos
da árvore de falhas. Para se fazer uma hierarquização qualitativa, podem ser considerados
dois fatores:
O primeiro é a importância estrutural, que é baseada no número de componentes de eventos
BÁSICOS que se encontram em cada série de cortes mínimos. Por exemplo, uma série de
corte mínimo de um evento é mais importante que uma série de cortes mínimos de dois
eventos, uma de dois eventos é mais importante que uma de três, e assim por diante. Esta
hierarquização significa que é mais provável que ocorra um evento que dois, dois que três,
etc.

O segundo fator considera a hierarquização dentro de cada tamanha de série de corte

mínimo, por exemplo, hierarquização das séries de cortes mínimos de dois eventos,
baseado no tipo de evento que constitui a série. A regra geral que orienta esta
hierarquização é:

1. Erro humano
2. Falhas dos equipamentos ativos
3. Falhas nos equipamentos passivos

Esta hierarquização significa que os erros humanos têm mais probabilidade de acontecer
que as falhas de equipamentos ativos (em funcionamento) e que há mais probabilidades que
aconteça uma falha em um equipamento ativo que em passivo (parado).

Utilizando esta regra em uma lista de séries de cortes mínimos de dois eventos teríamos a
hierarquia mostrada na lista a seguir
 LISTA DE HIERARQUIA DE EVENTOS
HIERARQUIA EVENTO BÁSICO TIPO 1 EVENTO BÁSICO TIPO 2

1 Erro humano Erro humano

2 Erro humano
3 Erro humano
4 Falha de equipamento ativo
5 Falha de equipamento ativo
6 Falha equipamento passivo
Falha equipamento ativo
Falha equipamento passivo
Falha equipamento ativo
Falha equipamento passivo
Falha equipamento passivo

Embora sugerida pela experiência, estas hierarquias podem diferir significamente de

sistema para sistema, com base em fatores tais como qualidade do equipamento, revisões,
manutenção preventiva, treinamento dos operadores, etc.

O melhor método de hierarquização qualitativa consiste no fato de o analista exemine

detalhadamente cada corte mínimo em particular e estabeleça a série mais importante com
base na experiência real e operacional.